今天登录vcsa 无法登录了,显示no healthy upstream
网上查了下,说什么vcsa的服务没起来,还有dns错误,然后看了下服务确实没起来,dns的话我有2台域控,正常不应该有问题,所以忽略,后来研究发现是证书过期了。
以前vcenter老版本证书时间很久,后来我记得应该是6.5的时候证书只有2年了,所以要记得更新证书,没过期的时候可以在vcsa图形界面里点,如果过期了只能通过命令行来更新证书。
参考文档:
VCSA 6.5.x,6.7.x 或 vCenter Server 7.0.x 中的”签名证书无效”错误 (76719)
https://kb.vmware.com/s/article/76719
如何使用自签名 VMCA 来重新生成 vSphere 6.x 证书 (2112283)
https://kb.vmware.com/s/article/2112283?lang=zh_cn
执行kb76719
首先下载kb76719 中的脚本fixsts.sh上传到/tmp目录
cd /tmp
chmod +x fixsts.sh
./fixsts.sh
会出现如下的成功字样
重启服务,然后看看能不能登录
service-control –stop –all
service-control –start –all
如果还不行继续运行后面的kb2112283的继续更新其他证书
执行kb2112283
我们查询下其他证书过期情况
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store $i –text | egrep “Alias|Not After”; done
然后会发现还有其他证书也过期了也要继续更新
直接执行下面命令
/usr/lib/vmware-vmca/bin/certificate-manager
选择选项 8 进行操作,重置所有证书
根据提示,在「Hostname」输入VCSA的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。
注:一开始其他都是默认,比如us,ca之类的,ip也是先默认,然后到了Hostname和VMCA如果你是用了FQDN,那就用你的域名,否则就是输入IP,这2个一定要一致。
执行完成后,会出现下图自动替换证书,并且启动VC,完成之后就可以登录VC了。